Andere Firmen - andere Sitten
Bei uns hat heute ein neuer Mitarbeiter angefangen. Der musste natürlich sein Initial-Passwort ändern.
MA: Ok, hab ich gemacht. Und wem gebe ich das Kennwort jetzt?
IT: Natürlich niemandem.
MA: In der alten Firma hatte einer alle Kennwörter für den Fall, dass mal jemand an den PC muss...
IT: Sollte das im Ausnahmefall tatsächlich mal notwendig sein ändern wir dein Passwort. Dann bekommst du wenigstens mit, dass da was war. Im Regelfall ist das aber überhaupt nicht notwendig.
MA: Ok...
Andere Firmen - andere Sitten 🤷🏼♂️
Manuel
MA: Ok, hab ich gemacht. Und wem gebe ich das Kennwort jetzt?
IT: Natürlich niemandem.
MA: In der alten Firma hatte einer alle Kennwörter für den Fall, dass mal jemand an den PC muss...
IT: Sollte das im Ausnahmefall tatsächlich mal notwendig sein ändern wir dein Passwort. Dann bekommst du wenigstens mit, dass da was war. Im Regelfall ist das aber überhaupt nicht notwendig.
MA: Ok...
Andere Firmen - andere Sitten 🤷🏼♂️
Manuel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5219742723
Url: https://administrator.de/forum/andere-firmen-andere-sitten-5219742723.html
Ausgedruckt am: 25.12.2024 um 20:12 Uhr
19 Kommentare
Neuester Kommentar
Das Problem kenn ich
War mal bei einer Firma bei der es verboten war das zugeteilte Kennwort zu ändern. Waren
alle unterschiedlich. Der IT Dienstleister und 4 Leute in der Firma hatten alle Kennwörter inkl.
der Administrativen Zugänge.
Und was soll ich sagen es ist dann etwas ( damals) vorgefallen und es wurde wie es natürlich
üblich ist ein Schuldiger gesucht wieso weshalb das System ( die Produktion stand ca. 2 kompl.
Tage still ) ausgefallen war. Muss ja einer schuld sein nicht war ? Ein MA ( weiss bis heute nicht wer )
hat auf dem DC und auf dem SQL Server wie wild Software installiert weil er irgendwas umsetzen
wollte ( keine Ahnung was, war aber irgendein Share nach Extern Tool wo es zig Anleitungen gibt )
und dann war der Server vom AD platt ( konnte aus Backup gerettet werden ) und der SQL hat nur noch
Müll von sich gegeben.
Also wer ist schuld ?
Meine Aussage von damals hat dem GF natürrlich nicht so ganz gepasst als ich in einem Meeting
sagte das es Prozipiell nur die Leute gewesen sein könnten die Zugriff auf die Kennwörter haben.
Dan langes hin und her bla bla bla. Zu Glück hab ich damals die Vereinbarung für die PC / Systemnutzung
aufgehoben in der das alles geregelt war mit Kennwort darf nicht geändert werden und der und der hat
das Kennwort. Privatnutzung Untersagt usw. War dann erstmal formal raus. Wenn mir jemand hätte versuchten
wollen etwas zu unterstellen dann wäre ich mit dem Schreiben so vor das Arbeitsgericht oder vergleichbar
gegangen. Mein Anwalt sagte damals: Zurücklehnen und abwarten. Das Schreiben ist ein Freibrief für dich.
Selbst wenn du es warst, es gab andere Leute die deine zugangsdaten hatten also muss hier erstmal bewiesen
werden das du es warst was schwierig wird. ( Ja ich weiß schwirig hießt nicht unmöglich )
War mal bei einer Firma bei der es verboten war das zugeteilte Kennwort zu ändern. Waren
alle unterschiedlich. Der IT Dienstleister und 4 Leute in der Firma hatten alle Kennwörter inkl.
der Administrativen Zugänge.
Und was soll ich sagen es ist dann etwas ( damals) vorgefallen und es wurde wie es natürlich
üblich ist ein Schuldiger gesucht wieso weshalb das System ( die Produktion stand ca. 2 kompl.
Tage still ) ausgefallen war. Muss ja einer schuld sein nicht war ? Ein MA ( weiss bis heute nicht wer )
hat auf dem DC und auf dem SQL Server wie wild Software installiert weil er irgendwas umsetzen
wollte ( keine Ahnung was, war aber irgendein Share nach Extern Tool wo es zig Anleitungen gibt )
und dann war der Server vom AD platt ( konnte aus Backup gerettet werden ) und der SQL hat nur noch
Müll von sich gegeben.
Also wer ist schuld ?
Meine Aussage von damals hat dem GF natürrlich nicht so ganz gepasst als ich in einem Meeting
sagte das es Prozipiell nur die Leute gewesen sein könnten die Zugriff auf die Kennwörter haben.
Dan langes hin und her bla bla bla. Zu Glück hab ich damals die Vereinbarung für die PC / Systemnutzung
aufgehoben in der das alles geregelt war mit Kennwort darf nicht geändert werden und der und der hat
das Kennwort. Privatnutzung Untersagt usw. War dann erstmal formal raus. Wenn mir jemand hätte versuchten
wollen etwas zu unterstellen dann wäre ich mit dem Schreiben so vor das Arbeitsgericht oder vergleichbar
gegangen. Mein Anwalt sagte damals: Zurücklehnen und abwarten. Das Schreiben ist ein Freibrief für dich.
Selbst wenn du es warst, es gab andere Leute die deine zugangsdaten hatten also muss hier erstmal bewiesen
werden das du es warst was schwierig wird. ( Ja ich weiß schwirig hießt nicht unmöglich )
Wenn ich auch bissel Senfen darf
Ich bekomme als Mitarbeiter im Systemhaus auch viel mit. Wir sind immer auf Umgebungen unterwegs, in der die Infrastruktur nicht von uns, sondern von der Firma selbst oder einem externen gemacht wird.
Da hab ich wirklich schon alles mitbekommen. Von 3 Ebenen mit jeweils Multifaktor Authentifizierung bis man an das gewünschte System kommt bis zu wir nutzen alle den gleichen Account ohne Passwort, der hat auch Adminrechte, war da wirklich schon alles dabei.
Interessanterweise lassen sich von diesen Situationen aber auch meistens Rückschlüsse auf die Zahlungswilligkeit der Kunden schließen.
Poor Input - Poor Output. Das Prinzip gilt einfach überall.
Argumentativ sind wir dann übrigens auf dem Niveau "das war doch schon immer so und hat noch nie jemand gestört"
Grüße
PJM
Ich bekomme als Mitarbeiter im Systemhaus auch viel mit. Wir sind immer auf Umgebungen unterwegs, in der die Infrastruktur nicht von uns, sondern von der Firma selbst oder einem externen gemacht wird.
Da hab ich wirklich schon alles mitbekommen. Von 3 Ebenen mit jeweils Multifaktor Authentifizierung bis man an das gewünschte System kommt bis zu wir nutzen alle den gleichen Account ohne Passwort, der hat auch Adminrechte, war da wirklich schon alles dabei.
Interessanterweise lassen sich von diesen Situationen aber auch meistens Rückschlüsse auf die Zahlungswilligkeit der Kunden schließen.
Poor Input - Poor Output. Das Prinzip gilt einfach überall.
Argumentativ sind wir dann übrigens auf dem Niveau "das war doch schon immer so und hat noch nie jemand gestört"
Grüße
PJM
Moin,
Gruß,
Dani
Interessanterweise lassen sich von diesen Situationen aber auch meistens Rückschlüsse auf die Zahlungswilligkeit der Kunden schließen
Zahlungswillig bin ich eigentlich nie. Poor Input - Poor Output. Das Prinzip gilt einfach überall.
Sag das mal meiner Freundin.... Argumentativ sind wir dann übrigens auf dem Niveau "das war doch schon immer so und hat noch nie jemand gestört"
war bei uns auch lange so... bis Sicherheitsbeauftragte und Datenschutzbeauftragte in Form von eigenständige Teams geschaffen wurde. Da hat es am Anfang fast wöchentlich Meetings mit Beschwerden aus der Belegschaft gegeben. Nach knapp 14 Jahren ist nun alles geregelt.Gruß,
Dani
Das Spiel kenne ich nur zu gut. Früher war ich die einzige Verteidigungslinie zwischen IT-Sicherheit und Benutzerwillen. Und natürlich waren es die User, die oft an der GF gearbeitet haben und ihn so lange bequatscht haben bis er "mich sich zur Brust genommen" hat. Das waren immer echt unangenehme Gespräche und sehr nervig, weil ich jedes Mal lang und breit darlegen musste wieso Dies und Das nötig war. Ich meine... Schalt doch mal die Macros ab. Mal sehen was passiert. ^^ Kennt jeder von uns. Oder führe einen DC ein und nehme auf dem Weg den Usern die Adminrechte weg. Da wirst du grau bei...
Moin,
Das erlebt man schon das eine oder andere mal. Aber in einer Dreimann-Bude öfter als in größeren Firmen.
Letztens wieder eine Minifirma gehabt, bei der die Arbeitsplätze "taskbezogen" und nicht personenbezogen waren. Da arbeiten dann alle drei dann mit den gleichen Paßwörtern (aber wenigstens nicht mit Adminrechten).
lks
Das erlebt man schon das eine oder andere mal. Aber in einer Dreimann-Bude öfter als in größeren Firmen.
Letztens wieder eine Minifirma gehabt, bei der die Arbeitsplätze "taskbezogen" und nicht personenbezogen waren. Da arbeiten dann alle drei dann mit den gleichen Paßwörtern (aber wenigstens nicht mit Adminrechten).
lks
Zitat von @Tommy70:
Man waren die in der alten Firma kompliziert. 🤦♂️
Einfach jedem Mitarbeiter als Kennwort Pa$$word vorgeben und das ändern nicht zulassen.
Macht es für alle viel einfacher. 😉😂
Man waren die in der alten Firma kompliziert. 🤦♂️
Einfach jedem Mitarbeiter als Kennwort Pa$$word vorgeben und das ändern nicht zulassen.
Macht es für alle viel einfacher. 😉😂
Unrealistisch und übertrieben... 123456 ist der Branchenstandard.
Zitat von @2423392070:
Unrealistisch und übertrieben... 123456 ist der Branchenstandard.
Unrealistisch und übertrieben... 123456 ist der Branchenstandard.
Und ich dachte "geheim", weil das sicherer als 123456 ist.
Und wenn man es ganz schwer machen will, nimmt man "gehheim", aber das fassen manche Mitarbeiter manchmal als vorzeitigen Feierabend auf.
lks
PS. geheim/gehheim sind wunderbare Initalpaßwörter, die bei Mitarbeitern zu verwunderten Gesichtsausdrücken führen, wenn man sagt "Das Paßwort ist geheim/gehheim".
Naja - mal ernsthaft, es gibt nunmal in div. Firmen verschiedene Anforderungen. Sei es nun das die Passwörter zwischen den Kollegen getauscht werden oder das die eh per Aufkleber am Monitor kleben,...
Man könnte ja genausogut anders argumentieren und sich darüber wundern das es scheinbar in einigen Firmen für einen Admin einfach möglich ist das der-/diejenige allein das Passwort eines Mitarbeiters zurücksetzt bzw. Zugriff auf Daten bekommt - in anderen Unternehmen gilt hier eben das "4-Augen-Prinzip" und die div. Leute haben eben nur nen Teil des Passwortes bzw. Tokens.
Und man könnte sogar soweit gehen das ja einige Admins immernoch meinen das es viel sicherer ist ein möglichst komplexes Passwort zu verlangen - obwohl lange klar ist das die Anwender sich einen Weg überlegen werden das zu umgehen (halt dann Pa$$wort1 o.ä.) bzw. die Passwörter dann erst reicht weitergegeben werden. GRADE wenn die IT-Abteilungen mal wieder jedes Amt in den Schatten stellen was die Bürokratie angeht (von wegen ohne Ticket nich mal ne simple Frage beantworten, Telefon wird gar nicht erst abgenommen,...).
Von daher würde ich da nicht einfach mal pauschal über andere Firmen urteilen - sofern man nicht genau weiss warum und wieso die das so gelöst haben. Es ist ja nichts anderes als wenn man eben die normalen Default-Passwörter verwendet und die Mitarbeiter die für die nächsten 200 Jahre auch so verwenden...
Man könnte ja genausogut anders argumentieren und sich darüber wundern das es scheinbar in einigen Firmen für einen Admin einfach möglich ist das der-/diejenige allein das Passwort eines Mitarbeiters zurücksetzt bzw. Zugriff auf Daten bekommt - in anderen Unternehmen gilt hier eben das "4-Augen-Prinzip" und die div. Leute haben eben nur nen Teil des Passwortes bzw. Tokens.
Und man könnte sogar soweit gehen das ja einige Admins immernoch meinen das es viel sicherer ist ein möglichst komplexes Passwort zu verlangen - obwohl lange klar ist das die Anwender sich einen Weg überlegen werden das zu umgehen (halt dann Pa$$wort1 o.ä.) bzw. die Passwörter dann erst reicht weitergegeben werden. GRADE wenn die IT-Abteilungen mal wieder jedes Amt in den Schatten stellen was die Bürokratie angeht (von wegen ohne Ticket nich mal ne simple Frage beantworten, Telefon wird gar nicht erst abgenommen,...).
Von daher würde ich da nicht einfach mal pauschal über andere Firmen urteilen - sofern man nicht genau weiss warum und wieso die das so gelöst haben. Es ist ja nichts anderes als wenn man eben die normalen Default-Passwörter verwendet und die Mitarbeiter die für die nächsten 200 Jahre auch so verwenden...
Zitat von @manuel-r:
@maretz
Spätestens wenn "Hinz und Kunz" die Passwörter der Personen kennen (und ungehemmt nutzen können) die mit Personalangelegenheiten oder anderen personenbezogenen Daten zu tun haben wird es im Sinne der DSGVO gefährlich. Die schreibt nämlich die Anwendung technisch-organisatorischer Mittel (TOMs) explizit vor.
@maretz
Spätestens wenn "Hinz und Kunz" die Passwörter der Personen kennen (und ungehemmt nutzen können) die mit Personalangelegenheiten oder anderen personenbezogenen Daten zu tun haben wird es im Sinne der DSGVO gefährlich. Die schreibt nämlich die Anwendung technisch-organisatorischer Mittel (TOMs) explizit vor.
Das stimmt natürlich - nur: Du kannst eben technisch nicht das unterbinden was "vorm" rechner schief geht. Dabei ist es eben egal ob du jetzt komplexe Passwörter verlangst, 2FA implementierst,... - wenn die Personen vorm Rechner nicht verstehen WARUM das so ist dann finden die auch Wege um das zu umgehen... Daher ist eben Sicherheit immer ein Kompromiss zwischen "wirklich sicher" und "störend". Du kannst zwar ein paar Dinge machen - zB. natürlich Passwörter die am Monitor kleben abreissen - aber du kannst ja nicht permanent alle Schreibtische durchsuchen,... (und darfst das idR auch nicht)... Und ich denke da muss man eben abwägen wo man den Mittelweg findet und wogegen man sich überhaupt schützen will. Und das ist natürlich auch Abteilungsabhängig - so sollte es natürlich dem Mitarbeiter der Perso klar sein das der/die ihre Passwörter nich einfach im Laden ans Schwarze Brett klebt, genauso wie die ausgedruckte Gehaltsliste natürlich nicht offen aufm Schreibtisch liegen sollte wenn Kollege/in X rumkommt...
Die Perso war auch nur ein Beispiel - natürlich gibt es mehrere Personen die ihr Passwort tunlichst nicht teilen sollen.
Was ich meinte ist aber: Man muss eben trotzdem überlegen wo man das Limit setzt (und dies ist idR. nicht mal die Aufgabe der IT). Es gibt ja auch das umgekehrte Beispiel: Nimm mal im Supermarkt die Person an der Kasse. Natürlich SOLLTE die ihre Anmelde-PIN an der Kasse nicht weitergeben - klar. Gleichzeitig seh ich aber häufig das die eben nur nen "Touch-Screen" haben mit ner riesigen Tastatur so das du fast schon vom Laden-EINGANG sehen kannst was die da tippt. Da ist es dann schon ziemlich unsinnig wenn man ankommt mit "aber auf gar keinen Fall weitergeben, das ist total böse" wenn die gar keine CHANCE hat das Passwort zB. so einzugeben das der Kunde (und die Kassiererin/der Kassierer an der nächsten Kasse) das nicht ebenfalls völlig locker sehen kann...
Geh doch hier mal so durch die Einträge u. auch andere Threads durch. Da wird gerne so getan als wenn die IT der heilige Tempel ist und wenn zB. Passwörter weitergegeben werden ist das nahezu ne Todesstrafe, völlig unabhängig davon was die Personen tun. Und DA ist eben bei mir der Punkt wo ich sage das man schauen muss. So habe ich zB. verscheidene Passwörter - eines davon EXTRA dafür das ich es weitergeben kann... Und wenn man Mitarbeiter - gleich welcher Abteilung - da eben mitnimmt funktioniert es auch mit einer sowohl sicheren Umgebung die aber gleichzeitig das Arbeiten nicht blockiert...
Was ich meinte ist aber: Man muss eben trotzdem überlegen wo man das Limit setzt (und dies ist idR. nicht mal die Aufgabe der IT). Es gibt ja auch das umgekehrte Beispiel: Nimm mal im Supermarkt die Person an der Kasse. Natürlich SOLLTE die ihre Anmelde-PIN an der Kasse nicht weitergeben - klar. Gleichzeitig seh ich aber häufig das die eben nur nen "Touch-Screen" haben mit ner riesigen Tastatur so das du fast schon vom Laden-EINGANG sehen kannst was die da tippt. Da ist es dann schon ziemlich unsinnig wenn man ankommt mit "aber auf gar keinen Fall weitergeben, das ist total böse" wenn die gar keine CHANCE hat das Passwort zB. so einzugeben das der Kunde (und die Kassiererin/der Kassierer an der nächsten Kasse) das nicht ebenfalls völlig locker sehen kann...
Geh doch hier mal so durch die Einträge u. auch andere Threads durch. Da wird gerne so getan als wenn die IT der heilige Tempel ist und wenn zB. Passwörter weitergegeben werden ist das nahezu ne Todesstrafe, völlig unabhängig davon was die Personen tun. Und DA ist eben bei mir der Punkt wo ich sage das man schauen muss. So habe ich zB. verscheidene Passwörter - eines davon EXTRA dafür das ich es weitergeben kann... Und wenn man Mitarbeiter - gleich welcher Abteilung - da eben mitnimmt funktioniert es auch mit einer sowohl sicheren Umgebung die aber gleichzeitig das Arbeiten nicht blockiert...
Moin,
Passwörter sind einfach überbewertet. Man muss das einfach derart doof gestalten, dass der Angreifer den Zaunpfahl übersieht, weil der viel zu groß ist. Andere sind abgeschreckt und fühlen sich in ihrer Ehre verletzt, weil eine derart ungeschützte Umgebung definitiv nichts wichtiges beherbergen kann. Nur vor destruktiven Naturen muss man sich in Acht nehmen.
Beispiel bei uns: Als ich 2008 in unserer Hochschule angefangen habe, hatten alle Studenten ein fest definiertes Passwort, das sie auch nicht ändern konnten: Matrikelnummer-Geburtsdatum. Jaha, da sind Buchstaben drin und ganz viele Zahlen auch. Das WLAN war mit WEP "geschützt", den WEP-Schlüssel hat jeder Student bekommen, der Schlüssel wurde auch nie geändert. Ist aber auch nicht schlimm, weil der Schlüssel in etwa die Syntax 12345678890 hatte. WLAN-Zugang hat aber ohnehin nichts genutzt, weil die guten Linksys-SOHO-Billo-APs keinen auch nur annähernd zuverlässigen Netzwerkzugang ermöglichten.
Zu meinem Glück habe ich das dann von meinen beiden VorgängerInnen übernommen und musste dieses Elend nicht mehr mitmachen.
Insofern: Schlimmer geht immer
Passwörter sind einfach überbewertet. Man muss das einfach derart doof gestalten, dass der Angreifer den Zaunpfahl übersieht, weil der viel zu groß ist. Andere sind abgeschreckt und fühlen sich in ihrer Ehre verletzt, weil eine derart ungeschützte Umgebung definitiv nichts wichtiges beherbergen kann. Nur vor destruktiven Naturen muss man sich in Acht nehmen.
Beispiel bei uns: Als ich 2008 in unserer Hochschule angefangen habe, hatten alle Studenten ein fest definiertes Passwort, das sie auch nicht ändern konnten: Matrikelnummer-Geburtsdatum. Jaha, da sind Buchstaben drin und ganz viele Zahlen auch. Das WLAN war mit WEP "geschützt", den WEP-Schlüssel hat jeder Student bekommen, der Schlüssel wurde auch nie geändert. Ist aber auch nicht schlimm, weil der Schlüssel in etwa die Syntax 12345678890 hatte. WLAN-Zugang hat aber ohnehin nichts genutzt, weil die guten Linksys-SOHO-Billo-APs keinen auch nur annähernd zuverlässigen Netzwerkzugang ermöglichten.
Zu meinem Glück habe ich das dann von meinen beiden VorgängerInnen übernommen und musste dieses Elend nicht mehr mitmachen.
Insofern: Schlimmer geht immer
Moin.
Simple Lösungen:
Gruß
JoeToe
Simple Lösungen:
- Das kompliziert-einfache Passwort auf die Rückseite der jeweiligen Tastatur kleben. Ich dachte, die Sitte wäre ausgestorben, bis ich letztes Jahr akkuraten Aufklebern aus dem Etikettendrucker auf Tastaturrückseiten begegnete.
- Oder gleich das sicherste Passwort der Welt Mb2.r5oHf-0t für alles und alle vergeben; leicht zu merken ist es zwar nicht, dafür kann man es schnell ergoogeln.
Gruß
JoeToe
Wir sind, auch wegen dem Problem hier, recht weiter mit unserer 2FA Strategie. Da ist die "Qualität" der Kennwörter nicht mehr so wichtig.
Unsere Enterprise-IT mit deren fleischgewordenen User sind zu über 99% 2FA mit virtueller Smartcard durch Yubikeys und z. B. unserer Produktion-IT MES/BDE Systeme sind im laufe des Jahres bei 50% sicherlich angekommen.
Ende diesen Jahres ist sogar das VPN für externe zu 97%+ mit 2FA. (Zielvorgabe)
Und wie schon erwähnt. Alles eine Frage der Perspektive. Herr und Frau Ehepaar Urologie vom Kanzler kennen auch das gemeinsame Kennwort und es wäre schützenswert, ob der Kanzler untenrum...
Unsere Enterprise-IT mit deren fleischgewordenen User sind zu über 99% 2FA mit virtueller Smartcard durch Yubikeys und z. B. unserer Produktion-IT MES/BDE Systeme sind im laufe des Jahres bei 50% sicherlich angekommen.
Ende diesen Jahres ist sogar das VPN für externe zu 97%+ mit 2FA. (Zielvorgabe)
Und wie schon erwähnt. Alles eine Frage der Perspektive. Herr und Frau Ehepaar Urologie vom Kanzler kennen auch das gemeinsame Kennwort und es wäre schützenswert, ob der Kanzler untenrum...
Zitat von @MysticFoxDE:
😮 ... aber erst, nachdem er dasselbe auch meinem Hausdrachen !! erfolgreich !! vermitteln konnte. 😉🤪
Poor Input - Poor Output. Das Prinzip gilt einfach überall.
Sag das mal meiner Freundin.... 😮 ... aber erst, nachdem er dasselbe auch meinem Hausdrachen !! erfolgreich !! vermitteln konnte. 😉🤪
Ich habe auch nen Hausdrachen!! - Verwandschaft??
Ist ne Vela-Spezies ...